Πριν από μερικές ημέρες κυκλοφόρησαν τα νέα ότι ως μέρος μιας πρόσφατης ενημέρωσης στο Raspberry OS, το Raspberry Pi Foundation εγκατέστησε ένα αποθετήριο της Microsoft σε όλους τους υπολογιστές μονού πίνακα που τον εμπιστεύτηκαν, χωρίς τη γνώση των κατόχων τους.
Ο ελιγμός δεν έχει γίνει απαρατήρητος στην κοινότητα του Linux που εντείνει για να αντιταχθεί στην έλλειψη διαφάνειας και τηλεμετρίας και στους χρήστες των πινάκων Raspberry Pi συζητούν, συμπεριλαμβανομένης μιας κλήσης στο αποθετήριο της Microsoft στο Raspberry Pi OS, καθώς και την προσθήκη κλειδιού Microsoft GPG για αξιόπιστη εγκατάσταση πακέτου.
Το αποθετήριο της Microsoft προστίθεται από το πακέτο raspberrypi-sys-mods, το οποίο περιλαμβάνει σενάρια και ρυθμίσεις για το λειτουργικό σύστημα.
Η διαμόρφωση του /etc/apt/sources.list.d τροποποιείται από το σενάριο μετά την εγκατάσταση και χρησιμοποιείται για τη διαμόρφωση του περιβάλλοντος ανάπτυξης του VSCode. Οι κύριες αξιώσεις σχετίζονται με το γεγονός ότι το αποθετήριο και το κλειδί της Microsoft προστέθηκαν χωρίς προειδοποίηση στους χρήστες.
Η ιδέα πίσω από την προσθήκη του χώρου αποθήκευσης της Microsoft είναι να διευκολύνετε τη χρήση του περιβάλλοντος ανάπτυξης του Visual Studio Code.
Είναι επίσημα επειδή υποστηρίζουν το IDE της Microsoft (!), Αλλά θα το πάρετε ακόμα και αν το εγκαταστήσατε από μια καθαρή εικόνα και χρησιμοποιείτε το Pi χωρίς κεφάλι χωρίς GUI. Αυτό σημαίνει ότι κάθε φορά που κάνετε "apt update" στο Pi σας, κάνετε ping σε έναν διακομιστή της Microsoft.
Εγκαθιστούν επίσης το κλειδί Microsoft GPG που χρησιμοποιείται για την υπογραφή πακέτων από αυτό το αποθετήριο. Αυτό μπορεί δυνητικά να οδηγήσει σε ένα σενάριο όπου μια ενημέρωση τραβάει μια εξάρτηση από το αποθετήριο της Microsoft και το σύστημα θα εμπιστεύεται αυτόματα αυτό το πακέτο.
Η εγκατάσταση του αποθετηρίου γίνεται σιωπηλά, χωρίς τη συγκατάθεση του χρήστη, και το Raspberry Foundation δεν προετοιμάζει τους χρήστες για μια τέτοια αλλαγή μέσω μιας ειδικής ανάρτησης ιστολογίου.
Οι ενοχλημένοι χρήστες σχολιάζουν ότι εΑυτή η συμπεριφορά είναι επικίνδυνη για δύο λόγους:
Πρώτον, κάθε φορά που οι πληροφορίες αποθετηρίων ενημερώνονται κατά την εγκατάσταση ή την ενημέρωση πακέτων, ο διαχειριστής πακέτων πραγματοποιεί δημοσκοπήσεις σε όλα τα συνδεδεμένα αποθετήρια, δηλαδήΟ διακομιστής Microsoft συγκεντρώνει πληροφορίες σχετικά με τις διευθύνσεις IP όλων των χρηστών Λειτουργικό σύστημα Raspberry Pi, το οποίο μπορεί να χρησιμοποιηθεί για τη δημιουργία προφίλ χρήστη.
Ένα παρόμοιο προφίλ μπορεί να χρησιμοποιηθεί, για παράδειγμα, για στοχευμένη διαφήμιση κατά τη σύνδεση σε υπηρεσίες της Microsoft από την ίδια IP.
Δεύτερον, το αποθετήριο της Microsoft συνδέεται ως πλήρως αξιόπιστο, παρά το γεγονός ότι δεν είναι υπό τον έλεγχο των προγραμματιστών του λειτουργικού συστήματος Raspberry Pi και δεν ζητήθηκε από τους χρήστες επιβεβαίωση να προσθέσουν το κλειδί GPG της Microsoft. Εάν η υποδομή της Microsoft διακυβεύεται μέσω ενός τέτοιου αποθετηρίου, μπορούν να διανεμηθούν πλαστές ενημερώσεις για την αντικατάσταση τυπικών πακέτων ή την αντικατάσταση εξαρτήσεων.
Και συνεχίζει να το λέει αυτό
Αυτός είναι ο τρόπος που κάνετε τα πράγματα όλη την ώρα "για παρόμοια προβλήματα" χωρίς να ενημερώσετε τους ιδιοκτήτες της σειράς των υπολογιστών μονής πλακέτας. »Οι χρήστες έχουν υπενθυμίσει τις εντάσεις μεταξύ Linux και Microsoft σχετικά με την τηλεμετρία.
Τέλος, σημειώνεται ότι η διανομή Raspbian που υποστηρίζεται από την κοινότητα δεν επηρεάζεται από το πρόβλημα, η αλλαγή προστίθεται μόνο στο Raspberry Pi OS, μια παραλλαγή του Raspbian που διατηρείται από το Raspberry Pi Foundations.
Μια άλλη προσέγγιση είναι να αποκλείσετε το Visual Studio Code εάν θέλετε να συνεχίσετε να χρησιμοποιείτε το Raspberry Pi OS. Το Visual Studio Code είναι εξοπλισμένο με επιλογές τηλεμετρίας, έτσι πολλοί χρήστες βρίσκουν το Visual Studio Codium πιο κατάλληλο.
Για να εξαλείψετε την πρόσβαση σε διακομιστές της Microsoft στο λειτουργικό σύστημα Raspberry Pi, απλώς σχολιάστε το περιεχόμενο του αρχείου /etc/apt/sources.list.d/vscode.list και διαγράψτε το / etc / apt / αξιόπιστο κλειδί. Gpg.d / microsoft .gpg.
Επίσης, το "127.0.0.1 package.microsoft.com" μπορεί να προστεθεί στο / etc / hosts για να αποκλείσει αιτήματα.
Τέλος, αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να συμβουλευτείτε τον ακόλουθο σύνδεσμο.